前言
在多系统交互的应用场景中,单点登录(SSO)能够显著提升用户体验,减少重复登录的繁琐操作。基于 Cookie 的单点登录方案,凭借其简单直观、浏览器原生支持的特性,成为快速实现单点登录的有效方式。本文将深入探讨 Spring Boot 中基于 Cookie 实现单点登录的原理、具体实现步骤、注意事项,并提供完整代码示例。
一、基于 Cookie 实现单点登录原理
1.1 基本概念
Cookie 是由服务器发送到用户浏览器并存储在本地的小型数据,可在后续的 HTTP 请求中被浏览器自动携带发送回服务器。基于 Cookie 的单点登录,核心在于通过在多个相关系统间共享特定的 Cookie,来识别用户的登录状态,从而实现一次登录,多处访问。
1.2 实现流程
- 用户登录主系统:用户在主系统(如
main.example.com)输入用户名和密码进行登录。 - 生成并设置 Cookie:主系统验证用户身份通过后,生成包含用户身份信息(如用户 ID、用户名等)的 Cookie,并设置该 Cookie 的
domain属性为顶级域名(如.example.com),这样该 Cookie 就能在所有子域名(如sub1.example.com、sub2.example.com)的系统中共享。 - 访问其他子系统:当用户访问同一顶级域名下的其他子系统时,浏览器会自动携带该 Cookie。子系统接收到请求后,从 Cookie 中获取用户身份信息,验证其有效性。
- 验证通过:若验证通过,子系统认为用户已登录,允许其访问受保护资源;若验证失败,则引导用户进行登录。
二、Spring Boot 实现基于 Cookie 的单点登录
2.1 项目搭建与依赖添加
创建 Spring Boot 项目,在pom.xml中添加 Web 相关依赖:
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
</dependencies>
2.2 登录接口实现
创建AuthController类,实现用户登录功能,并在登录成功后设置共享 Cookie:
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletResponse;
import java.util.Optional;
@RestController
public class AuthController {
// 模拟用户信息存储(实际应用中从数据库查询)
private static final String USERNAME = "admin";
private static final String PASSWORD = "123456";
@PostMapping("/login")
public String login(@RequestParam String username, @RequestParam String password, HttpServletResponse response) {
if (USERNAME.equals(username) && PASSWORD.equals(password)) {
// 创建包含用户信息的Cookie
Cookie cookie = new Cookie("sso_token", username);
// 设置Cookie的domain为顶级域名,实现共享
cookie.setDomain(".example.com");
cookie.setPath("/");
cookie.setMaxAge(3600); // 设置Cookie有效期为1小时
response.addCookie(cookie);
return "登录成功";
}
return "登录失败";
}
}
2.3 受保护资源接口与验证
创建ProtectedResourceController类,模拟受保护资源,并在请求处理前验证 Cookie:
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import java.util.Optional;
@RestController
public class ProtectedResourceController {
@GetMapping("/protected")
public String protectedResource(HttpServletRequest request) {
Optional<Cookie> ssoCookie = Arrays.stream(request.getCookies())
.filter(cookie -> "sso_token".equals(cookie.getName()))
.findFirst();
if (ssoCookie.isPresent()) {
String username = ssoCookie.get().getValue();
return "欢迎," + username + "!这是受保护的资源。";
}
return "请先登录";
}
}
2.4 登出功能实现
创建LogoutController类,实现用户登出功能,即删除共享 Cookie:
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletResponse;
import java.util.Arrays;
@RestController
public class LogoutController {
@GetMapping("/logout")
public String logout(HttpServletResponse response) {
Cookie cookie = new Cookie("sso_token", null);
cookie.setDomain(".example.com");
cookie.setPath("/");
cookie.setMaxAge(0); // 立即失效
response.addCookie(cookie);
return "登出成功";
}
}
三、跨域场景下的 Cookie 共享实现
当系统分布在不同域名下(跨域),直接共享 Cookie 会受到同源策略限制。可通过以下方式解决:
3.1 中间代理服务
在中间搭建一个代理服务(如 Nginx),配置反向代理规则。当子系统接收到请求时,通过代理服务转发请求到主系统进行 Cookie 验证,验证通过后再将结果返回给子系统。
以 Nginx 配置为例:
server {
listen 80;
server_name sub1.example.com;
location / {
proxy_pass http://main.example.com;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Cookie $http_cookie; // 传递Cookie
}
}
3.2 JSONP 或 CORS
- JSONP:通过动态创建
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
import java.util.Arrays;
@Configuration
public class CorsConfig {
@Bean
public CorsFilter corsFilter() {
CorsConfiguration config = new CorsConfiguration();
config.setAllowedOrigins(Arrays.asList("http://sub1.example.com", "http://sub2.example.com"));
config.setAllowCredentials(true); // 允许携带Cookie
config.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "DELETE"));
config.setAllowedHeaders(Arrays.asList("*"));
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", config);
return new CorsFilter(source);
}
}
四、优缺点分析
4.1 优点
- 实现简单:利用浏览器原生支持的 Cookie 机制,无需复杂的协议和第三方组件,易于理解和实现。
- 性能较好:Cookie 由浏览器自动携带,服务器处理逻辑相对简单,在同一域名下的系统间切换响应迅速。
- 兼容性强:几乎所有浏览器都支持 Cookie,适用于各种前端技术栈的应用。
4.2 缺点
- 安全风险:Cookie 易受 XSS(跨站脚本攻击)和 CSRF(跨站请求伪造)攻击。若 Cookie 泄露,攻击者可能冒充用户身份。
- 大小限制:浏览器对单个 Cookie 的大小有限制(通常为 4KB 左右),存储的用户信息不能过多。
- 跨域复杂:跨域场景下实现 Cookie 共享较为复杂,需要额外的配置和处理。
五、安全防护措施
5.1 防止 XSS 攻击
- 输入验证:对用户输入的数据进行严格验证和过滤,防止恶意脚本注入。
- HttpOnly 属性:设置 Cookie 的HttpOnly属性为true,禁止 JavaScript 访问 Cookie,降低 XSS 攻击获取 Cookie 的风险。
Cookie cookie = new Cookie("sso_token", username); cookie.setHttpOnly(true);
5.2 防止 CSRF 攻击
- 添加 CSRF 令牌:在表单或 AJAX 请求中添加随机生成的 CSRF 令牌,服务器验证令牌的有效性。
- SameSite 属性:设置 Cookie 的SameSite属性为Strict或Lax,限制 Cookie 在跨站请求中的发送。
Cookie cookie = new Cookie("sso_token", username); cookie.setSameSite("Strict");
总结
通过本文的介绍,我们全面了解了 Spring Boot 基于 Cookie 实现单点登录的原理、实现方式、跨域处理、优缺点及安全防护措施。虽然该方案存在一定的安全风险,但通过合理的配置和防护手段,能在许多场景下高效实现单点登录功能。开发者可根据项目实际需求,灵活运用这些技术,打造安全、便捷的用户认证体系。
扫一扫
3100
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
